Если qr код не читается это подделка

Обновлено: 06.07.2024

— Это QR-код, который не копируется физически. То есть, когда мы кладём QR-код в принтер и получаем дополнительную копию, она уже не распознаётся. Неважно, сколько копий, все они считываться не будут. Другими словами, это стандартный QR-код, внутреннюю часть которого нельзя скопировать, размножить или подделать. Например, если мошенник захочет сделать множество копий QR-кодов и наклеить их на фейковые продукты, то благодаря нашему QR-коду можно будет понять, что это подделка.

— Для чего был создан такой QR-код? В чём смысл двухфакторной системы проверки?

— Нашей первоначальной целью была защита от контрафакта. Это головная боль российского рынка. Несмотря на то что в нашей стране есть государственная маркировка, мы хотели дополнительно обезопасить иностранную продукцию, выходившую на наш рынок. И мы начали разрабатывать специальную метку. Однако её стоимость была дорогой для массового производства, и мы пытались удешевить нашу технологию. Вместо десяти рублей наши метки стали стоить пять рублей. Мы начали думать, как дополнительно защитить эту метку, чтобы графическое изображение невозможно было скопировать.

  • Отличия стандартного и двухфакторного QR-кода

Стандартный QR-код можно размножить на принтере и распознать специальными программами — например, на телефоне. Он будет соответственно показывать какой-то результат. У нас идёт проверка по двум факторам. Это внешний вид QR-кода и внутренний. Если они совпадают, то только тогда можно узнать, оригинал это или нет. Получается, что это двухфакторная авторизация, в отличие от обычного однофакторного QR-кода. Наш внутренний код выглядит как квадрат в квадрате. Например, берём обычную форму QR-кода и добавляем внутрь ещё одну.

Мы придумали свой алгоритм этого внутреннего кода. Это тоже некий код, шифр которого хранится у нас. Обычный QR-код можно сейчас создать любым генератором и напечатать миллион таких копий. Мошенники могут сделать так же, но внутреннюю часть, как у нашей метки, у них уже подделать не получится.

— Сколько времени ушло на разработку QR-кода и какие компании его сейчас используют?

— Полгода. В марте прошлого года мы думали, как удешевить технологию, и ближе к зиме начали плодотворную работу. Мы брали принтеры и использовали разные технологии. Мы всё анализировали и пытались сделать варианты QR-кода. У нас было около тысячи всевозможных вариантов, прежде чем появился один-единственный.

На сегодняшний день у нас есть десять постоянных клиентов, которые каждый месяц с нами работают. Ещё 12 корпораций хотят с нами сотрудничать. Среди них производители автозапчастей, деревообрабатывающие, табачные компании и другие.

— Как происходит проверка QR-кода? Какие программы были для этого разработаны?

— Мы разработали наше фирменное мобильное приложение для iOS и Android, которое можно запустить и проверить наши коды. Помимо всего прочего, сейчас мы внедряем технологию веб-интерфейса для телефона. Другими словами, когда сканируется QR-код, открывается ещё одно окошко в веб-браузере с камерой, там идёт дополнительное сканирование. Это удобно для массового потребителя, для тех, кто не хочет использовать мобильное приложение.

Сначала проверяется внешний код. Если он правильный, то начинает проверяться уже внутренняя часть (некопируемая). Если она совпадает с той, что у нас в базе, тогда уже мы получаем информацию о продукте (сроке годности, его виде, производителе и т. д.). Также мы можем получить и PDF-файлы либо видеофайлы — в данном случае мы не ограничены в размерах вшитой информации.

Мы создали специальный сервер, чтобы он принимал данные при копировании QR-кода. Доступ к такому серверу практически невозможно получить. Если код не подходит и не совпадает с теми, что находятся в нашей базе, метка поддельная.

— Разрабатываются ли аналоги такого QR-кода в мире или ваш можно считать уникальным?

— Хотелось бы сказать, что мы уникальны. Но если ты не знаешь о какой-то компании, это не значит, что её нет. Возможно, кто-то в этом направлении работает. Тем более в нынешней ситуации, когда все знают о проблеме поддельных QR-кодов.

Я знаю, что есть компания в Гонконге, которая работает над схожими технологиями. Но у них есть очень много нюансов. Во-первых, для считывания их QR-кодов нужны очень продвинутые телефоны. И принцип у них такой: есть белая часть и чёрная часть, из которых состоит QR-код. В этой белой части у них находятся специальные точки и палочки, которые могут распознать только смартфоны. Более того, проверка QR-кода у них занимает более 25 секунд.

Российские учёные создали невидимые полимерные гелевые метки, которые можно использовать для защиты от контрафакта. Они представляют.

— В каких областях будут использоваться новые QR-коды? Какие перспективы у данной разработки?

— Мы в следующем году выходим на рынок СНГ. У нас там довольно много запросов. Сначала мы бы хотели закрепиться на российском рынке, а потом уже предлагать QR-код западным компаниям.

Мы работаем со всей продукцией с приставкой «авто» —автозапчасти, автохимия, автомасла. Наши коллеги, анализировавшие этот рынок, сказали, что за 2019 и 2020 годы там было продано около 30% поддельной продукции. Например, каждая третья запчасть или каждая третья бутылка масла поддельная, контрафактная. Соответственно, клиенты на этом рынке знают, что продукцию очень активно фальсифицируют, и поэтому ищут какие-то способы защиты.

— Сможет ли разработанная вами технология помочь в борьбе с поддельными QR-кодами после вакцинации коронавируса?

— Мы ещё не запустили такой QR-код, потому что там очень много нюансов. Даже если мы введём новые QR-коды, что делать людям, которые вакцинировались и уже получили старые? Даже если наши QR-коды будут вводиться официально с 1 декабря, это не значит, что мошенники не смогут поставить другую дату и выдать старый QR-код. В первую очередь нужно защититься от всяких мошеннических схем. Сейчас прорабатываются все варианты, чтобы никто не смог обмануть систему.

Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.

QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.

Что такое QR-коды и как ими пользоваться

В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.

Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.

Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.

Как киберпреступники используют QR-коды

Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.

Фальшивые ссылки

Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.

Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.

Закодированные в QR-коде команды

Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:

Как киберпреступники маскируют QR-коды

Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.

Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.

Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.

Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.

QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.

Как не попасть в беду с QR-кодом

Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:

Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.

У сотрудников, которые занимают контролирующие должности в общественных местах, вход в которые возможен только по QR-коду, возникает необходимость проверять его подлинность. В этой статье рассмотрим, как это можно сделать.

QR код

Как работает QR-код о вакцинации

Куар код является свидетельством того, что его предъявитель прошёл полный курс вакцинации от COVID-19. В нём хранятся данные о статусе кода (действителен или не действителен), инициалы, дата рождения, в некоторых версиях имеются также и последние три цифры паспорта. При сканировании кода происходит переход на сайт Госуслуги со всеми этими данными.

Контролёр должен отсканировать код и сравнить полученные данные с данными, указанными в паспорте предъявителя. Также следует обязательно убедиться в том, что переход по QR коду произошёл именно на сайт Госуслуг, а не на какой-то другой, похожий поддельный сайт. Если всё совпадает, то QR код подлинный.

Сервисы для проверки подлинности Куар кода

Проверить все эти данные глазами бывает затруднительно, особенно, если трафик посетителей в заведении большой. Появляется риск ошибки и тогда есть вероятность пропустить кого-то с поддельным кодом. Поэтому хотелось бы использовать какие-либо сервисы для проверки подлинности QR кода. И таких инструментов есть несколько.

Разрешение доступа к камере

А затем просто наведите объектив камеры на предъявляемый QR.

Приложение для проверки QR

Сервис автоматически проверит подлинность данных из куар кода и сравнит их с базой Госуслуг, и если всё верно, то сообщит о подлинности. Если же данные не будут обнаружены, то это свидетельствует о том, что QR поддельный, и не является подлинным.

Обработка происходит быстро и займёт примерно 0,5 секунды. Это позволяет оперативно сканировать и проверять подлинность большого количества посетителей. Для быстрого доступа можно добавить ярлык на сайт на главный экран смартфона.

Добавление ярылка

Ещё один способ сканирования QR кода показан на видео:

Кроме этого инструмента, можно использовать и другие. Например, городские приложения, в которые были добавлены функции проверки подлинности QR кода специально для служащих общественных заведений:

Как подделывают QR коды о вакцинации

В подделке QR кода нет никакого секрета, это так легко, что с этой задачей справится любой школьник, который более-менее близок к IT. Достаточно лишь зарегистрировать доменное имя, похожее на Госуслуги, и разместить на нём страницу, которая внешним видом дублирует страницу с сертификатом о вакцинации. Вписать там нужные данные человека и зашифровать URL страницы в QR код.

После этого при сканировании такого куар кода, он будет направлять на фишинговую страницу, похожую внешне на Госуслуги, и отображать данные якобы вакцинированного. Никаких элементов защиты в QR нет и невнимательный контролёр может не заметить разницы и пропустить человека.

Сертификат о вакцинации

Что делать при обнаружение поддельного QR кода

Если вы контролируете трафик общественного заведения и сканируете куар коды всех посетителей, при обнаружении поддельного вы, конечно же, не пустите человека. Но кроме того, увидев подделку, вы становитесь свидетелем преступления и обязаны сообщить об этом в полицию.

Человек, подделавший QR, должен будет нести ответственность по статье 327 УК РФ части 1, где предусмотрено наказание ограничением или лишением свободы на срок до двух лет, либо исправительными работами на срок до двух лет. Для того, кто изготовил QR код и кто его использует, предусмотрена одна статья и наказание одинаковое.

Человек в поддельным QR кодом может быть потенциально заражённым коронавирусом. Поэтому его допуск в общественное заведение запрещен.


Иногда возникают такие ситуации, когда нужно прочитать QR код, а смартфона под рукой нет. Что же делать? В голову приходит лишь попробовать прочитать вручную. Если кто-нибудь сталкивался с такими ситуациями или кому просто интересно как же читается QR код машинами, то данная статья поможет вам разобраться в этой проблеме.

В статье рассмотрены базовые особенности QR кодов и методика дешифрирования информации без использования вычислительных машин.

Иллюстраций: 14, символов: 8 510.

Для тех, кто не в курсе что такое QR код, есть неплохая статья в английской Wikipedia. Также можно почитать тематический блог на Хабре и несколько хороших статей по смежной тематике, которые можно найти поиском.


Чтобы понять, как извлечь данные из кода, нужно разобраться в алгоритме. Существует несколько стандартов в семействе QR кодов, с их базовыми принципами можно ознакомиться в спецификациях. Кратко поясню: данные, которые необходимо закодировать, разбиваются на блоки в зависимости от режима кодирования. К разбитым по блокам данным прибавляется заголовок, указывающий на режим и количество блоков. Существуют и такие режимы, в которых используется более сложная структура размещения информации. Данные режимы рассматривать не будем ввиду того, что извлекать вручную из них информацию нецелесообразно. Однако, основываясь на тех принципах, которые описаны ниже, можно адаптироваться и к этим режимам.

По стандарту, данные с RS-кодами перед записью в картинку «перемешиваются». Для этих целей используют специальные маски. Существует 8 алгоритмов, среди которых выбирается наилучший. Критерии выбора основаны на системе штрафов, о которых можно также почитать в спецификации.

«Перемешанные» данные записываются в особой последовательности на шаблонную картинку, куда добавляется техническая информация для декодирующих устройств. Исходя из описанного алгоритма, можно выделить схему извлечения данных из QR кода:


Здесь зелёным фломастером подчёркнуты пункты, которые нужно будет выполнить при непосредственном чтении кода. Остальные пункты можно опустить ввиду того, что считывание производит человек.


Взглянув на картинки, можно заметить несколько отчётливых областей. Эти области используются для детектирования QR кода. Эти данные не представляют интереса с точки зрения записанной информации, но их нужно вычеркнуть или просто запомнить их расположение, чтобы они не мешали. Всё остальное поле кода несёт уже полезную информацию. Её можно разбить на две части: системная информация и данные. Также существует информация о версии кода. От версии кода зависит максимальный объём данных, которые могут быть записаны в код. При повышении версии – добавляются специальные блоки, например как здесь:


По ним можно сориентироваться и понять какая версия QR перед вами. Коды высоких версий обычно также нецелесообразно считывать вручную.

Размещение системной информации показано на рисунке:


Системная информация дублируется, что позволяет значительно понизить вероятность возникновения ошибок при детектировании кода и считывании. Системная информация – это 15 бит данных, среди которых первые 5 — это полезная информация, а остальные 10 — это BCH(15,5) код, который позволяет исправлять ошибки в системных данных. К классу BCH кодов относят и RS коды. Обратите внимание, что на рисунке две полоски по 15 бит не пересекаются.

Как уже говорилось, интерес представляют только первые 5 бит. Из которых 2 бита показывают уровень коррекции ошибок, а остальные 3 бита показывают какая маска из доступных 8 применяется к данным. В рассматриваемых QR кодах системная информация содержит:


Кроме уже озвученных схем защиты системной информации, вдобавок, используется статическая маска, которая применяется к любой системной информации. Она имеет вид: 101010000010010. Так как имеет интерес только первые 5 бит, то маску можно сократить и легко запомнить: 10101 (десять — сто один). После применения операции «исключающего или» (xor) получаем информацию.

Возможные уровни коррекции ошибок:

000 (i + j) mod 2 = 0
001 i mod 2 = 0
010 j mod 3 = 0
011 (i + j) mod 3 = 0
100 ((i div 2) + (j div 3)) mod 2 = 0
101 (i j) mod 2 + (i j) mod 3 = 0
110 ((i j) mod 2 + (i j) mod 3) mod 2 = 0
111 ((i+j) mod 2 + (i j) mod 3) mod 2 = 0


Чтобы понять с какими данными предстоит иметь дело, необходимо изначально прочитать 4-х битный заголовок, который содержит в себе информацию о режиме. Специфика чтения данных изображена на картинке:


Список возможных режимов:

После извлечения 4-х бит, описывающих режим, необходимо к ним применить маску.
В нашем случае для двух кодов используются разные маски. Маска определяется выражением, приведённым в таблице выше. Если данное выражение сводится к TRUE (верное) для бита с координатами (i,j), то бит инвертируется, иначе всё остаётся без изменений. Начало координат в левом верхнем углу (0,0). Взглянув на выражения, можно заметить в них закономерности. Для рассматриваемых QR кодов, маски будут выглядеть так:





На рисунке видно, что в левом QR коде, как и отмечалось, записана цифра 5. Это видно по указателю количества символов и последующим после него 4 битам. В числовом режиме наряду с 10-битными блоками используются 4-х битные блоки для экономии места, если в 10-битном объёме нет необходимости. В правом коде зашифровано 4 символа. На данный момент неизвестно что зашифровано в нём. Поэтому необходимо перейти к чтению следующего столбца для извлечения всех 4-х блоков информации.


На рисунке видно, все 4 пакета представляют собой коды ASCII латинских букв, образующие слово «habr»

Естественно наилучшим способом остаётся достать телефон из кармана и, наведя камеру на QR-картинку, считать всю информацию. Однако в экстренных случаях может пригодиться и описанная методика. Конечно, в голове не удержишь все указатели режимов и типов масок, а также ASCII символы, но популярные комбинации запомнить (хотя бы те, что рассмотрены в статье) под силу.

<p>Фото © ТАСС / AP / Павел Головкин</p>

Фото © ТАСС / AP / Павел Головкин

Согласно данным разработчика антивирусов ESET, на сегодняшний день более 300 интернет-ресурсов были заблокированы за продажу поддельных персональных QR-кодов, необходимых для посещения заведений общепита. Чтобы лучше разобраться в этой теме, эксперты создали инструкцию о том, как отличить настоящий цифровой код от фальшивки. Она оказалась в распоряжении Лайфа.

Так, ссылка из настоящего QR-кода должна вести на поддомен immune.mos.ru, отмечают в ESET. При этом телефон или планшет для проверки кодов на входе в заведение должен быть не старше пяти лет — на устаревших версиях операционных систем приложение "Транспорт Москвы" может не установиться.

Оформляем и пользуемся: Где в Москве взять QR-код после вакцинации

В компании также рекомендуют загрузить приложения "Московский транспорт" или "Помощник Москвы". В первом нужно открыть в меню пункт "Проверка цифрового сертификата" — именно он и подходит для проверки кодов у посетителей заведения.

"Проверьте, чтобы в строке адреса открывшейся страницы обязательно был домен immune.mos.ru и знак замка слева от адреса. Как правило, мошенники используют домены, которые похожи на официальные, поэтому их легко перепутать. Вот некоторые примеры поддельных адресов: mos.immune.ru, immune.moss.ru, immnune.mos.biz", — отметили специалисты.

В Подмосковье пообещали не вводить QR-коды в транспорте при одном условии

Вместе с тем в ESET предупреждают, что мошенники могут подделать и документы, предоставив QR-код, оформленный другим человеком. Сотрудникам заведений в этом случае необходимо требовать оригиналы документов, а не скан-копии.

"Дело в том, что мошенник использует действительный QR-код и страницу добросовестного вакцинировавшегося. Далее в программах-фоторедакторах рисует скан-копию документов с нужной датой рождения и первыми буквами ФИО владельца пропуска. К примеру, ЖСМ. В результате воспользоваться таким пропуском могут все люди с совпадающими инициалами", — пояснили эксперты.

В данном случае не пропустить человека с поддельным QR-кодом поможет только проверка оригиналов документов, а попытка предъявить бумажную копию сигнализирует об обманке, подчеркнули в компании.

Читайте также: